Sebuah bursa terdesentralisasi yang dibangun di atas teknologi Uniswap V4 mengumumkan akan menutup secara permanen setelah pelanggaran keamanan senilai $8,4 juta menguras cadangannya, dengan tim pengembangan mengatakan kekurangan dana yang dibutuhkan untuk meluncurkan kembali. Bunni DEX memberi tahu pengguna bahwa mereka dapat menarik aset yang tersisa, tetapi kas platform akan dibagi di antara pemegang token sementara perusahaan menutup operasi.
Yang Perlu Diketahui:
- Peretas mengeksploitasi sistem likuiditas kustom Bunni DEX pada 2 September menggunakan pinjaman kilat untuk memanipulasi perhitungan, menguras dana di jaringan Ethereum dan Unichain meskipun telah diaudit keamanan sebelumnya.
- Total nilai yang terkunci di platform tersebut telah melonjak dari $2,2 juta menjadi hampir $80 juta sebelum serangan tersebut menghapus bulan-bulan pertumbuhan dalam hitungan detik.
- Penutupan ini menambah tahun yang meresahkan untuk keuangan terdesentralisasi, dengan lebih dari $3,1 miliar hilang karena eksploitasi pada tahun 2025 menurut perusahaan keamanan Hacken.
Detail Eksploitasi dan Dampak Keuangan
Pelanggaran tersebut menargetkan Fungsi Distribusi Likuiditas Bunni, mekanisme kepemilikan yang dikembangkan tim untuk mengoptimalkan likuiditas perdagangan. Penyerang menggunakan pinjaman kilat—pinjaman tanpa agunan sementara yang harus dilunasi dalam transaksi blockchain yang sama—untuk memanipulasi perhitungan internal platform. Hal ini memicu kesalahan pembulatan yang memungkinkan peretas mengekstraksi dana secara sistematis.
Baik Trail of Bits dan Cyfrin telah melakukan audit keamanan pada kode Bunni sebelum serangan tersebut. Namun, kerentanan pada tingkat logika tidak terdeteksi oleh kedua perusahaan tersebut.
Tim menghentikan semua kontrak pintar segera setelah menemukan pelanggaran tersebut.
Mereka memposting di X bahwa meluncurkan kembali platform akan membutuhkan angka enam hingga tujuh untuk audit komprehensif dan sistem pemantauan. "Untuk meluncurkan kembali dengan aman, kami memerlukan angka enam hingga tujuh untuk audit dan pemantauan, modal yang kami tidak miliki," tulis tim tersebut.
Kas Bunni akan didistribusikan di antara pemegang token BUNNI, LIT, dan veBUNNI. Tim pengembangan mengatakan akan mengecualikan dirinya dari pembayaran kompensasi. Pengguna diberi tahu untuk menarik aset mereka yang tersisa "sampai ada pemberitahuan lebih lanjut."
Sebelum menutup, tim melisensikan ulang versi 2 kontrak pintarnya dari Business Source License ke MIT. Hal ini membuka teknologi platform—termasuk fungsi distribusi likuiditas, biaya lonjakan, dan fitur rebalancing otomatis—ke pengembang lain.
Implikasi Industri dan Kekhawatiran Keamanan
Kehancuran platform ini menyoroti kerentanan yang terus-menerus dalam protokol keuangan terdesentralisasi. Bunni telah mengalami pertumbuhan pesat dalam bulan-bulan sebelum serangan, dengan data dari DeFiLlama menunjukkan total nilai yang terkunci melonjak dari $2,2 juta menjadi hampir $80 juta. Pelanggaran tersebut menghilangkan kemajuan itu dalam hitungan detik.
Serangan pinjaman kilat telah menjadi masalah berulang dalam keuangan terdesentralisasi. Eksploitasi ini memanfaatkan fakta bahwa transaksi blockchain dieksekusi secara atomis—artinya semua operasi dalam transaksi tersebut harus berhasil atau gagal sepenuhnya. Penyerang meminjam sejumlah besar, memanipulasi harga atau perhitungan, mendapatkan keuntungan dari manipulasi tersebut, melunasi pinjaman, dan menyimpan selisihnya, semua dalam satu transaksi.
Kerugian $8,4 juta di Bunni mewakili sebagian kecil dari kerusakan yang terlihat di seluruh sektor keuangan terdesentralisasi tahun ini.
Peneliti keamanan di Hacken melaporkan lebih dari $3,1 miliar dalam total kerugian dari eksploitasi pada tahun 2025.
Insiden ini mungkin mendorong pengembang untuk mempertimbangkan kembali bagaimana mereka menerapkan logika kontrak pintar kustom. Pengamat industri menyarankan platform mungkin akan meningkatkan pengeluaran pada audit keamanan, menerapkan sistem pemantauan waktu nyata, dan memperluas program bug bounty yang membayar peneliti untuk mengidentifikasi kerentanan sebelum penyerang dapat mengeksploitasi mereka.
Istilah Kunci dalam Keuangan Terdesentralisasi
Total nilai yang terkunci mengacu pada jumlah cryptocurrency yang disimpan dalam protokol keuangan terdesentralisasi, yang berfungsi sebagai ukuran besar platform dan kepercayaan pengguna. Pinjaman kilat adalah pinjaman tanpa agunan yang harus dipinjam dan dibayar dalam transaksi blockchain yang sama, biasanya digunakan untuk arbitrase tetapi juga dieksploitasi oleh penyerang. Kontrak pintar adalah program yang dijalankan sendiri di blockchain yang secara otomatis menegakkan persyaratan perjanjian tanpa perantara.
Fungsi distribusi likuiditas mengelola bagaimana likuiditas perdagangan dialokasikan di berbagai rentang harga di bursa terdesentralisasi, dengan tujuan meningkatkan efisiensi modal bagi pedagang dan penyedia likuiditas.
Pemikiran Penutup
Penutupan Bunni DEX menggambarkan tantangan keuangan dan teknis yang dihadapi platform keuangan terdesentralisasi setelah pelanggaran keamanan besar. Keputusan tim untuk membuka source teknologi sebelum menutup dapat memungkinkan pengembang lain untuk belajar dari kerentanan platform saat membangun proyek masa depan.